Cyberspionaggio: il caso Eye Pyramid

In questi giorni è esploso in Italia il caso “Eye Pyramid”: un caso di cyberspionaggio per il quale sono stati arrestati i due fratelli Occhionero, Giulio, ingegnere nucleare di 45 anni e Francesca Maria, 49 anni, laureata in chimica. L’accusa è di aver sottratto informazioni, violando i computer di molti personaggi istituzionali, tra cui Matteo Renzi e Mario Draghi. 

Di cosa si tratta?

I due fratelli “hackers” avrebbero violato migliaia di computer, (si parla di 18.327 dispositivi) riuscendo così a spiare personaggi quali politici, banchieri, massoni e rappresentanti delle istituzioni a diversi livelli. L’operazione di cyberspionaggio andava avanti da oltre sei anni (fino all’agosto 2016).

Come è stata scoperta ?

Solo ora, dopo anni, è stata scoperta grazie alla denuncia, nello scorso mese di marzo, di Francesco Di Maio, il responsabile per la sicurezza dell’Enav (quindi una persona con conoscenze di cybersecurity), che aveva ricevuto (il 26 gennaio 2016) una mail sospetta dallo studio dell’Avvocato Ernesto Stajano (con cui non aveva alcun rapporto). Insospettito fece analizzare il contenuto dell’email (da un’agenzia specializzata in cyber security) scoprendo alcuni aspetti inquietanti:

  1. lo studio legale aveva subito un attacco informatico che aveva permesso agli attaccanti di sfruttare i suoi account di posta elettronica per inviare email contenenti malware. Questo studio legale è solo uno dei numerosi studi legali  risultati compromessi e che venivano utilizzati come sorgente (ritenuta credibile) per inviare email contenenti trojan ai soggetti da attaccare.
  2. l’email stessa conteneva un malware. Si scopre trattarsi di una variante di un trojan noto già dal 2008 con il nome di “Eye Pyramid“. Questo malware consente all’attaccante di prendere il controllo da remoto del computer attaccato e gli permette di esfiltrare dati, attraverso file cifrati.
  3. Il trojan si può collegare ad un server C&C (di Command e Control) per ricevere comandi ed aggiornamenti. Questo server C&C controlla tutte le macchine compromesse, che diventano parti di una botnet.
  4. era stata inviata mediante rete TOR (una “darknet” che permette di navigare in modo anonimo).

A questo punto, ENAV ha denunciato il fatto alla Polizia Postale. Il CNAIPIC (Centro nazionale anticrimine informatico della Polizia Postale), con un’analisi di reverse engineering è riuscito a risalire a ritroso fino ai responsabili, i fratelli Occhionero. Questi si resero conto di essere intercettati dalla Polizia, perchè dal giorno 4 ottobre 2016 Giulio Occhionero comincia a cancellare file  e credenziali, per cercare di far sparire le prove. Infatti il giorno successivo subirono una perquisizione domiciliare, nel corso della quale (come si legge a pag.37 dell’Ordinanza di custodia cautelare) fecero di tutto per impedire  alla Polizia l’accesso ai propri computer.

L’analisi tecnica e le modalità dell’attacco

Lasciando da parte quanto scritto dalla stampa in questi giorni – molte notizie, come vedremo poi, anche eccessive per voglia di sensazionalismo giornalistico – cerchiamo di analizzare il caso sotto l’aspetto della cybersecurity. Si tratta infatti di un attacco che coinvolge molte delle componenti più tipiche e frequenti negli attacchi informatici. Le elenco qui per poi illustrarle in dettaglio:

  • attacco “spear phishing” per veicolare il malware trojan,
  • Email Spoofing (falsificazione dell’indirizzo del mittente in una email),
  • RAT (“remote access tool”),
  • uso di Botnet (rete di computer compromessi e controllati da hacker attraverso server C&C),
  • APT (Advanced Persistent Threat: Minaccia avanzata e prolungata nel tempo),
  • uso di Keylogger.

L’attacco non è particolarmente sofisticato, quindi realizzabile anche da persone non altamente specializzate: venivano inviate email con la tecnica dello “spear phishing” (cioè phishing finalizzato ad un preciso obbiettivo, “spear” significa “fiocina” per intendere un attacco mirato, ne parlo in questo articolo) attraverso mittenti falsificati (spoofing) per risultare credibili ed affidabili da parte del destinatario. Queste email contenevano un allegato all’interno del quale si trovava il software malevolo (un “trojan”, cavallo di Troia) utilizzato dagli Occhionero che si chiama Eye Pyramid e permette di controllare a distanza i computer sui quali viene installato (RAT: “remote access tool”).

Il nome Eye Pyramid riporta ad un simbolo della massoneria, simbolo che è presente  anche sulla banconota da un dollaro degli Stati Uniti (sul retro, mentre sul recto c’è l’immagine di George Washington).

Prima importante considerazione: L’anello debole della catena è sempre l’utente, che cliccando sull’allegato malevolo ha permesso l’installazione del software spia. Nulla succede se l’utente non apre l’allegato, ma – come spiego nei miei corsi sulla Cybersecurity – oltre il 10% delle persone clicca su questi allegati (o link, ma l’effetto è lo stesso)!

Altra considerazione: Eye Pyramid, il malware creato da Giulio Occhionero è in grado di infettare solo sistemi Windows. Nelle versioni più vecchie conteneva un semplice keylogger (un software in grado per registrare i tasti battuti sulla tastiera, quindi anche username e password per poi inviarli al server C&C dell’hacker), mentre nelle versioni più recenti prendeva il controllo del computer, geolocalizzava le vittime attraverso l’indirizzo IP ed aveva anche la possibilità di esfiltrare dati che venivano inviati a server in Usa, ora sequestrati con la collaborazione della Cyber Division dell’Fbi statunitense.

Si è scoperto che questo malware veniva regolarmente aggiornato (lo è stato fino al luglio 2016), per implementare nuove funzioni e modificarlo in modo da renderlo invisibile agli antivirus (con la tecnica di offuscamento e del “polimorfismo”). Ciò comporta che i due fratelli avessero il supporto tecnico di hackers molto evoluti, in grado di aggiornare continuamente Eye Pyramid. Questo ha permesso di gestire attacchi di tipo APT (Advanced Persistent Threat), cioè con la permanenza per lungo tempo (anche anni) nei computer delle vittime.

In questi server di Command & Control gli investigatori hanno trovato oltre un migliaio di file di configurazione: questi sono i numeri reali dei computer violati. Quindi le notizie di stampa che parlano ancora di 18.327 username vanno intese come il numero dei “tentati attacchi”. Di questi solo 1.793 sono corredati anche da password ed archiviate nei server in due cartelle: “PoBu” (Politicians Business) e “BROS” (Fratelli, gli appartenenti alla massoneria). Quindi il vero numero dei computer violati è di 1.793 e tra questi non c’è quello di Matteo Renzi, che è stato sicuramente oggetto di attacchi, ma – per essere colpito – avrebbe dovuto ricevere quelle email su un PC Windows e non sull’iPhone o sul Mac (che normalmente usa), proprio perchè il malware Eye Pyramid poteva agire solo in ambiente Windows.

Neppure gli altri account “più famosi”, quelli di Mario Draghi e di Mario Monti, risultano essere stati violati, contrariamente ai titoli ad effetto comparsi sui giornali appena il caso è scoppiato. Sono state fatte – dai media – molte affermazioni roboanti ma sostanzialmente inesatte, facendo credere che questi tre importanti personaggi pubblici fossero stati attaccati e spiati per anni.

In realtà molte notizie errate sono state causate dal fatto che nella prima versione dell’Ordinanza di custodia cautelare che era stata diffusa, mancava la pagina 14 (su 47): solo leggendo la pagina 14 si capisce che esiste una lista di domini e di utenti presenti nel database di Occhionero (praticamente l’indirizzo email), ma che per molti di questi non ci sono le password. E senza le password quegli account non servono a nulla. In altre parole: hanno tentato di entrare, ma non ci sono riusciti.

Si tratta sicuramente di massiccio lavoro di dossieraggio, fatto usando modalità di attacco relativamente semplici, ma condotto in modo artigianale  ed anche naif (“alla vaccinara”, come l’ha definito qualcuno), lasciando in giro tracce importanti che li ha traditi.

Securelist (un autorità in cybersecurity, collegato a Kaspersky) nel suo articolo del 12/01 l’ha classificato come “A homebrew cyberespionage operation” (un operazione di spionaggio fatta in casa). Ed ha aggiunto che:

“L’operazione aveva un basso livello OPSEC (operational security); gli autori usavano per gli attacchi indirizzi IP associati con la loro compagnia (!), parlavano delle loro vittime attraverso normali telefonate e con WhatsApp e, quando catturati, hanno tentato di eliminare tutte le prove. Questo indica che non erano esperti nel campo, ma solo amatori, che tuttavia sono riusciti a rubare notevoli quantità di dati dalle loro vittime. Forse l’elemento più sorprendente di questa storia è che Giulio e Francesca Maria Occhionero hanno portato avanti questa operazione di spionaggio informatico per molti anni prima di essere scoperti.”.

Chi c’è dietro ai due fratelli hackers? Qual è il movente?

Ci sono dunque molti lati oscuri e ancora non chiariti in questa vicenda. Difficile credere che i due fratelli abbiano fatto tutto da soli. Ancor meno chiaro il movente che li ha spinti a portare avanti per anni un’azione di dossieraggio così estesa.

Riporto qui le dichiarazioni di Andrea Zapparoli Manzoni del CLUSIT (l’Associazione Italiana per la Sicurezza Informatica, della quale anch’io faccio parte): “Il malware Eye Pyramid è vecchio, c’è bisogno di un team che lo aggiorna, aggiunge funzionalità e lo rende invisibile. I due arrestati sono sconosciuti al mondo degli hacker, sono dei prestanome, dietro c’è uno sponsor. Spiare quasi 20mila persone vuol dire un’operazione in scala industriale e fare restare invisibile il malware per lungo tempo presuppone capacità di alto livello che non sono nelle possibilità delle due persone arrestate. Tra i domini usati, ad esempio, c’è eyepyramid.com che non userebbe neanche una persona sprovveduta. Questa è una storia affascinante a cui manca un pezzo”. 

Sicuramente le indagini in corso ci riserveranno delle sorprese, perchè molta parte di questa storia deve ancora essere raccontata. Non può essere solo l’iniziativa di due fratelli, ma dovrebbe riguardare un ben più ampio contesto, tra politica, finanza e massoneria. Sicuramente i due potevano contare quantomeno su una rete di esperti informatici, che li ha aiutati a tenere aggiornato ed invisibile ll malware.

Potrebbero essere coinvolti anche servizi stranieri o strutture eversive?

Intanto ll capo della Polizia, Franco Gabrielli, ha rimosso il direttore della  Polizia Postale, Roberto Di Legami, per aver sottovalutato l’indagine e non aver avvisato per tempo lo stesso Gabrielli.

Quali conclusioni trarre da questo caso?

Questa storia ci fa capire quanto siamo tutti vulnerabili, con le mail, le chat, i social network che possono essere “bucati” e letti da chiunque. Violare i computer degli altri sta diventano fin troppo facile, non occorre essere geni dell’informatica. I malware di spionaggio possono essere comprati e venduti in rete (e non occorre neppure andare nel DeepWeb per trovarli!), così come i nostri dati personali che ci sono stati rubati.

Questo caso sta facendo molto rumore, ma non rimarrà un fatto isolato. Siamo solo all’inizio, aspettiamoci  altro…

© Copyright 2017 Giorgio Sbaraglia
All rights reserved.

 

Lascia un commento